Situação
Os
componentes IPS, IDS ou Firewall são aqueles que permitem detectar intrusos em uma rede
informática e controlam o acesso aos dispositivos da rede para protegê-los de ataques
e abusos.Alguns dos sinais de intrusão no mau uso da rede que podem ser
captados por estes componentes, são:
·
Alto volume de conexões de saída rechaçadas:
um dispositivo
dentro da rede que gera muitas conexões controladas pelos componentes IPS, IDS
ou Firewall indicam a possibilidade de que uma aplicação não permitida na
empresa esteja instalada, ou, pior ainda, indicam a existência de uma aplicação
maliciosa tratando de expandir-se na rede ou tentando comunicar-se com seu criador.
·
Comunicações a países inusuais: os endereços de IP de internet são distribuídos em lotes que
identificam a localização do mundo desde onde se emite ou para onde se envia uma
conexão, em uma forma similar a como os números de telefone têm códigos de área. Conexões
repetitivas em direção a um lugar com o qual a empresa não tem enlace algum
indicam a possibilidade de mau uso ou intrusão na rede.
·
Uso de um porto inusual: Todas as comunicações entre
dispositivos são enviadas mediante um porto; isto permite aos dispositivos
manter várias conexões simultaneamente. O porto utilizado para uma conexão
indica o tipo de informação que se está recebendo ou enviando. Aplicações que tentam usar portos
distintos aos empregados pelas ferramentas utilizadas dentro de uma empresa indicam
a possibilidade de fuga de informação.
Ante a
aparição de qualquer uma destas atividades os IPS, IDS ou Firewalls geram um informe
para os componentes dedicados à administração da seguridade de informação e eventos
da rede (SIEM, segundo suas siglas em inglês).
Resposta de EnCase Cybersecurity
- Os
componentes SIEM ativam a EnCase Cybersecurity para que realize uma avaliação
extensa aos endereços de IP afetados
dentro da empresa e para que crie uma imagem da memória de sistema nos dispositivos específicos.
- Os
dispositivos eletrônicos utilizam a memória do sistema (memória RAM) para guardar todas as aplicações que estão
correndo em um dispositivo em um momento específico. EnCase Cybersecurity
permite capturar toda esta informação para descobrir exatamente que aplicação
está gerando as conexões inusuais, em que localização do dispositivo se
encontra, os portos que utiliza e os endereços
às que está tratando de conectar-se.
Após
encontrar as aplicações perturbadoras, EnCase permite ao examinador analisar se
corresponde a uma aplicação proibida
instalada pelo usuário ou um vírus infiltrado e criar um método para sua
remoção. Todas as operações são
realizadas de forma invisível ao usuário do dispositivo comprometido, permitindo-lhe
seguir trabalhando sem interrupção e sem levantar suspeitas, caso se trate de um problema
de fraude interna.
Benefício
Validar se
dados maliciosos detectados na rede durante seu tráfico foram instalados e executados
nos dispositivos examinados para aplacar os danos que estes pudessem causar de modo
eficaz .
EnCase Cybersecurity segue padrões
internacionais para a coleta e análise da informação que permitem a
admissão da informação encontrada em casos legais.
RELACIONADOS
No comments :
Post a Comment